个保法系列解读 | 特定场景下,个人信息影响评估有哪些要点?
共 2837字,需浏览 6分钟
·
2022-01-09 16:25
正式实施的《个人信息保护法》(以下简称“《个保法》”)已经成为各类个人信息处理者的基本行为规范。为了帮助企业更好地了解《个保法》的合规要求,TalkingData法务合规部特别撰写了系列文章,解析重点议题与对应法条,并对企业实践情况进行调研,供相关从业者参考。
2021年11月1日正式实施的《个保法》提出了个人信息影响评估的要求,旨在发现、处置和持续监控个人信息处理过程中的风险,并不断加强对个人信息的保护。为了进一步促进评估的有效落地实施,全国信息安全标准化技术委员发布了《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)(以下简称“《指南》”),TalkingData也参与了此项国家标准的编写。本篇文章将结合《个保法》与《指南》的内容,对个人信息影响评估进行解读。
一、个人信息影响评估
1.什么情形需要进行个人信息影响评估?
处理敏感个人信息;或利用个人信息进行自动化决策;或委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;或向境外提供个人信息;或进行其他对个人权益有重大影响的个人信息处理活动均需进行个人信息影响评估。针对其他有重大影响的活动,《指南》进行了细化列举以供参考,例如系统性的监控分析个人或个人信息;数据处理的规模较大,持续时间久;创新型技术或解决方案的应用;处理个人信息可能导致个人信息主体无法行使权利、使用服务或得到合同保障等情形。
2.个人信息影响评估应重点评估哪些内容?
个人信息影响评估应重点评估个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。相关企业可以通过对相关人员进行访谈;对管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等进行检查;使用人工或自动化安全测试工具进行技术测试等方式来实现对上述内容的评估。
3.如何进行个人信息影响评估?
开展评估前,企业需先对评估对象(可为某项产品、某类业务、某项具体合作等)进行全面的调研,形成清晰的数据清单及数据映射图表,并梳理出待评估的具体个人信息处理活动。开展评估时,通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度,以及分析安全措施是否有效、是否会导致安全事件发生及其可能性,综合两方面结果得出个人信息处理活动的安全风险及风险等级,并提出相应的改进建议,形成评估报告。具体的评估原理如下:
4.如何进行个人权益影响分析?
个人权益影响分析指分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响,以及可能产生何种影响。个人权益影响分析过程一般包含对个人信息敏感程度分析、个人信息处理活动特点分析、个人信息处理活动问题分析以及影响程度分析四个阶段。个人权益影响可依据限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损这四个维度再进行细化分析。
5.某些特殊场景应注意重点评估哪些要素?
《指南》针对某些特定的场景给出了一些评估要点提示以供参考,具体如下:
特定场景 | 评估要点 |
使用自动化决策方式处理个人信息的评估 | 是否向用户说明了自动化决策的基本原理或运行机制; 是否定期对自动化决策的效果进行评价; 是否对自动化决策使用的数据源、算法等持续优化; 是否向用户提供针对自动化决策结果的投诉渠道; 是否支持对自动化决策结果的人工复核。 |
个人信息匿名化和去标识化效果评估 | 个人信息匿名化和去标识化过程的规范性,所采用技术的通用性; 匿名化后的个人信息是否为统计型结果; 去标识化后的个人信息是否能够达到使用目的; 匿名化和去标识化后的个人信息使用场景; 如委托第三方进行去标识化或匿名化时,需评估其采用的方案及数据安全保障能力; 能否在公开渠道或数据交易组织获得类似的个人信息; 未经去标识化或匿名化处理保留的个人信息类型和内容的特殊性。 |
个人信息委托处理、转让、共享或公开披露前的影响评估 | 个人信息的类型、数量、敏感程度等; 是否向个人信息主体告知了转让、共享、公开披露的基本情况,并征得个人信息主体的明示授权同意; 数据发送方的安全管理保障和安全技术保障能力; 数据接收方的安全管理保障和安全技术保障能力(不包括公开披露); 数据接收方可能会开展的个人信息处理活动,或公开披露的个人信息可能会被使用的个人信息处理场景; 个人信息是否进行过去标识化处理; 发生个人信息安全事件后的补救措施; 数据接收方所能响应个人信息主体的请求的范围,如访问、更正、删除等。 |
确定个人信息安全事件处置方案的评估 | 个人信息的类型、数量、敏感程度、涉及的个人信息主体数量等; 发生事件的信息系统状况,对其他互联系统的影响; 已采取或将要采取的处置措施及措施的有效性; 对个人信息主体权益造成的直接影响和长期影响; 向个人信息主体告知事件的方式和内容; 是否达到《国家网络安全事件应急预案》等有关规定的上报要求。 |
6.个人信息影响评估报告应留存多久?
个人信息保护影响评估报告和处理情况记录应当至少保存3年。
二、企业实践情况调研
经过对Apple App Store前30款免费App的调研发现,所有的App均会在隐私政策中披露如何保护用户的个人信息,从技术措施、管理措施、安全响应等角度予以阐述。
*可关注本公众号,发送关键词「个人信息影响评估」,获取完整版报告
其中约13%的App还明确指出会将个人信息影响评估作为重要的个人信息保护措施,例如韩剧TV和快手,具体截图如下:
韩剧TV隐私政策
快手隐私政策
实施个人信息安全影响评估是加强对个人信息主体权益保护的有效举措。在开展个人信息处理前,公司可通过影响评估,提前识别风险,并据此采用适当的个人信息安全控制措施。对于正在开展的个人信息处理,企业可通过影响评估,持续完善己采取的个人信息安全控制措施,确保风险处于总体可控的状态。TalkingData内部已经制定了个人信息影响评估制度,会在严格遵守《个保法》的相关规定的基础上积极推进个人信息保护工作,完善公司内部的合规体系。
推荐阅读:
TalkingData——用数据说话
每天一篇好文章,欢迎分享关注